datu aizsardzība un tai piemērojamie · PTES (Penetration Testing Execution Standard) 8 OWASP (Open Web Application Security Project) Testing guide v4 10 OWASP Code Review guide

Fizisko personu

datu aizsardzība un

tai piemērojamie

standarti

07.10.2015

© 2015 KPMG Baltics SIA, Latvijā reģistrēta sabiedrība ar ierobežotu atbildību un KPMG neatkarību dalībfirmu, kuras saistītas ar Šveices uzņēmumu KPMG International Cooperative (KPMG International), tīkla

dalībfirma. Visas tiesības pieder autoram. Drukāts Latvijā.1

Saturs

Esošā likumdošana 2

Standartu un metodoloģiju piemērošana datu aizsardzībai 3

LVS ISO / IEC 27001:2013 standarts 4

PTES (Penetration Testing Execution Standard) 8

OWASP (Open Web Application Security Project) Testing guide v4 10

OWASP Code Review guide 12

OSSTMM (Open Source Security Testing Methodology Manual) v3.0 13

Standartu un metodoloģiju attiecināmība uz drošības līmeņiem 16



Esošā likumdošana

Esošā Latvijas Republikas likumdošana, kas ir attiecināma uz

informācijas sistēmām un datu aizsardzību:

Fizisko personu datu aizsardzības likums

Valsts informācijas sistēmu likums

Informācijas tehnoloģiju drošības likums

Ministru kabineta noteikumi Nr.442 «Kārtība, kādā tiek nodrošināta

informācijas un komunikācijas tehnoloģiju sistēmu atbilstība

minimālajām drošības prasībām»

Ministru kabineta noteikumi Nr.764 «Valsts informācijas sistēmu

vispārējās tehniskās prasības»



Standartu un metodoloģiju piemērošana datu aizsardzībai

Kāpēc piemērot starptautiskus standartus un metodoloģijas

informācijas sistēmām?

Starptautisko standartu un metodoloģiju piemērošana nodrošina to,

ka sistēmas ir aizsargātas no nesankcionētas piekļuves datiem, kas

tajās atrodas

LVS ISO / IEC 27001:2013 standarts nodrošina to, ka tiek izstrādāta

visa informācijas sistēmas uzturēšanai nepieciešamā dokumentācija,

kas saistīta ar IS drošību

PTES standarts, OWASP Testing guide v4 vadlīniju prasības,

OSSTMM metodikas pielāgošana un OWASP Code Review Guide

vadlīniju prasības nodrošina IS sistēmas ievainojamību

identificēšanu un novēršanu, tādējādi aizsargājot sistēmā esošos

datus

Atbilstība standartiem uzlabo organizācijas statusu tirgū



LVS ISO / IEC 27001:2013 standarts (1)

Standarts ir izstrādāts, lai specificētu prasības informācijas drošības vadības sistēmas

ieviešanai, uzturēšanai, nepārtrauktai pilnveidošanai, ar mērķi nodrošināt informācijas

konfidencialitāti, integritāti un pieejamību

Lai piemērotu šo standartu organizācijai un / vai informācijas sistēmai nepieciešams:

Informācijas drošības pārvaldnieks

Informācijas drošības politika

Apstiprināta informācijas drošības darbības sfēra

Informācijas drošības mērķi

Drošības matricas un galvenie darbības rādītāji

Informācijas drošības politikas uzlabošanas darbību plāns

Informācijas drošības departamenta amatu apraksti

Informācijas klasifikācijas noteikumi

Noteikumi saistībā ar darbinieku pienākumiem attiecībā pret informācijas drošību

Disciplinārprocesa apraksts drošības pārkāpumu gadījumā




Personāla apmācību ieraksti ar uzskatāmi redzamiem datumiem, kad apmācības

veiktas

Informācijas drošības pārvaldības politika

Risku novēršanas un iespēju plāns

Risku novērtējuma veikšanas plāns

Informācijas drošības risku novērtējums

Informācijas sistēmas risku novēršanas rezultāti

Komunikācijas plāns

Informācijas darbības nepārtrauktības plāns

Dokumentu pārvaldības apraksts

Iekšējā audita rezultāti ar uzskatāmi redzamu pēdējo auditēšanas datumu

Politika par antivīrusu izmantošanu

Dublējumkopiju politika, dublējumkopiju pieejamie žurnāli

Informācijas pārsūtīšanas politikas un priekšraksti




Mobilo iekārtu politika

Tālstrādes politika

Politika saistībā ar uzticamības pārbaudīšanas procesiem pirms darbinieku

pieņemšanas darbā

Piekļuves kontroles politika

Paroļu politika

Kriptogrāfiskās vadīklas lietošanas politika

Vides drošības un fiziskās drošības politika

Politika par tehnisko resursu aizsardzību

Aktīvu inventāra un to īpašnieku saraksts

Noteikumi saistībā ar pieļaujamo aktīvu izmantošanu, kā arī atpakaļ nodošanu

Priekšraksti par darbībām ar izņemamiem datnešiem, kā arī to pārvietošanu un

likvidēšanu




Dokumentēta informācija par neatbilstībām un to atrisināšanas plāns

Lietotāju tiesību pārskates protokoli

Informācijas izmaiņu pārvaldības procedūra

Sistēmu izmaiņu vadīklas priekšraksti

Projekta risku analīze

Jāņem vērā katrs no šiem dokumentiem var tikt apvienots vienā vai vairākos kopīgos

dokumentos



PTES (Penetration Testing Execution Standard) (1)

PTES ir starptautiski atzīts drošības testēšanas standarts

Izmantojot PTES standartu, pārbaudes tiek veiktas šādi:

Informācijas ievākšana

Meklēšanas dzinējos pieejamās informācijas izpēte

Informācijas identificēšana no publiskā tīkla

Informācijas identificēšana no iekšējā tīkla

Ievainojamību analīze

Ievainojamību pārbaude

Ievainojamību validācija

Uzbrukumu veidi

Ievainojamību izmantošana

Precizēšana

Pielāgotā ievainojamību izmantošana



PTES (Penetration Testing Execution Standard) (2)

VPN noteikšana

Maršruta noteikšana, ieskaitot statiskos maršrutus

Neautorizēta datu iegūšana

Biznesu ietekmējošie uzbrukumi

Pretošanās

Pēc izmantošana

Paroļu jaucējfunkcijas (no angļu val. – «hash») iegūšana

PTES standarta piemērošana informācijas sistēmām noris, veicot ielaušanās testēšanu

sistēmām:

Sistēmas ieviešanas posmā

Regulāri, ieteicams 1x gadā

Būtisku sistēmas izmaiņu rezultātā



OWASP (Open Web Application Security Project) Testing guide v4 (1)

OWASP Testing guide v4 ir starptautiski atzītas drošības testēšanas vadlīnijas

OWASP Testing guide v4 pārbauda šādas kontroļu grupas:

Informācijas vākšana

Konfigurācijas pārvaldības testēšana

Identitātes pārvaldības testēšana

Autentifikācijas testēšana

Autorizācijas testēšana

Sesiju pārvaldības testēšana

Ievaddatu validācijas testēšana

Kļūdu apstrāde

Kriptogrāfija

Biznesa loģikas testēšana

Klienta puses testēšana



OWASP (Open Web Application Security Project) Testing guide v4 (2)

Katra no kontrolēm palīdz identificēt riskus, kas jānovērš, lai netiktu iegūta neautorizēta

pieeja datiem, tai skaitā fizisko personu datiem

OWASP Testing guide v4 piemērošana informācijas sistēmām noris, veicot ielaušanās

testēšanu sistēmām:






OWASP Code Review guide

OWASP Code Review guide ir starptautiski atzītas koda caurskates vadlīnijas

OWASP Code Review guide pārbauda šādas kontroļu grupas:

Caurskate pēc tehniskās kontroles: Autentifikācija

Caurskate pēc tehniskās kontroles: Autorizācija

Caurskate pēc tehniskās kontroles: Sesiju pārvaldība

Caurskate pēc tehniskās kontroles: Ievaddatu validācija

Caurskate pēc tehniskās kontroles: Kļūdu apstrāde

Caurskate pēc tehniskās kontroles: Droša aplikāciju izvietošana

Caurskate pēc tehniskās kontroles: Kriptogrāfija

OWASP Code Review guide piemērošana informācijas sistēmām noris, veicot koda

caurskati:





OSSTMM (Open Source Security Testing Methodology Manual) v3.0 (1)

OSSTMM v3.0 ir atvērtā koda drošības testēšanas metodikas rokasgrāmata un tā ir

starptautiski atzīta drošības testēšanas metodika

Šī metodika tika izstrādāta ar mērķi, lai veiktu testēšanu un riska novērtējumu attiecībā uz

personas datu aizsardzību un informācijas drošību atbilstoši lielākajai daļai valstu

likumdošanu un labās prakses vadlīnijām. Lai gan šīs ir starptautiskas vadlīnijas, tās ir

attiecināmas arī uz Latvijas likumdošanu

OSSTMM v3.0 metodika IT auditā ietver:

Drošības testēšanu cilvēciskajam faktoram

Fiziskās drošības testēšanu

Bezvadu tīkla drošības testēšanu

Telekomunikāciju tīkla drošības testēšanu

Datu tīkla drošības testēšanu

Atbilstības testēšanu




OSSTMM v3.0 metodika pārbauda šādas kontroļu grupas:

Situācijas pārskats

Loģistika

Aktīvās noteikšanas pārbaude

Tīkla informācijas piekļuves audits

Piekļuves validācija

Uzticamības pārbaude

Operacionālās funkcionalitātes un drošības kontroļu pārbaude

Funkcionālo drošības procedūru pārvaldības pārbaude

Konfigurācijas pārbaude

Nelegāla un neētiska informācijas izmantošana

Segregācijas pārskats

Atklāšanas verifikācija




Biznesa inteliģences izpētīšana

Karantīnas pārbaude

Privilēģiju audits

Izdzīvošanas validācija

Brīdinājumu un žurnālfailu pārskats

OSSTMM v3.0 metodikas piemērošana informācijas sistēmām noris, veicot IT auditu:






Standartu un metodoloģiju attiecināmība uz drošības līmeņiem (1)

Lietotāju

identifikācija un

autentifikācija

OWASP Testing guide v4 kontroles «Identitātes pārvaldības testēšana» un

“Autentifikācijas testēšana”

ISO 27001:2013 standarta kontroles «A.9 Piekļuves kontroles»

OSSTMM v3.0 nodaļas Drošības testēšana datu tīkliem apakšnodaļas

«Piekļuves validācija», «Segregācijas pārskats” un “Privilēģiju audits”

PTES nodaļas “Ievainojamību pārbaude” un “Neautorizēta datu iegūšana”

OWASP Code Review guide nodaļa «Autentifikācija»

Lietotāju sesijas

drošība

OWASP Testing guide v4 kontroles “Sesiju pārvaldības testēšana”

PTES nodaļas “Ievainojamību pārbaude” un “Pielāgotā ievainojamību

izmantošana”

OWASP Code Review guide nodaļa «Sesiju pārvaldība»

Ārējo saskarņu

drošība

OWASP Testing guide v4 kontroles “Identitātes pārvaldības testēšana” un

“Autentifikācijas testēšana”, kā arī “Konfigurācijas pārvaldības testēšana”

OSSTMM v3.0 nodaļas Drošības testēšana datu tīkliem apakšnodaļa

“Operacionālās funkcionalitātes un drošības kontroļu pārbaude”, kā arī

«Konfigurācijas pārbaude»

PTES nodaļa “Ievainojamību pārbaude” un “Pielāgotā ievainojamību

izmantošana”

OWASP Code Review guide nodaļa «Autentifikācija»




Autorizācija un

tiesību pārvaldība

OWASP Testing guide v4 kontroles “Autorizācijas testēšana”

ISO 27001:2013 standarta kontroles “A.9 Piekļuves kontroles”

OSSTMM v3.0 nodaļas Drošības testēšana datu tīkliem

apakšnodaļas “Segregācijas pārskats” un “Privilēģiju audits”

PTES nodaļas “Ievainojamību pārbaude” un “Neautorizēta datu

iegūšana”

OWASP Code Review guide nodaļa «Autorizācija»

Audita ieraksti un

to aizsardzība

ISO 27001:2013 standarta kontroles “9. Veiktspējas novērtēšana” un

“A.12. Ekspluatācijas drošība”.

OSSTMM v3.0 nodaļas Drošības testēšana datu tīkliem apakšnodaļa

“Brīdinājumu un žurnālfailu pārskats”

Elektroniskais

paraksts

OWASP Testing guide v4 kontroles “Kriptogrāfija”

ISO 27001:2013 standarta kontroles “A.10. Kriptogrāfija”

PTES nodaļa “Ievainojamību pārbaude” un “Neautorizēta datu

iegūšana”

OWASP Code Review guide nodaļa «Kriptogrāfija»




Datu rezerves kopēšana un

darbības nepārtrauktības

nodrošināšana

ISO 27001:2013 standarta kontroles “A.12. Ekspluatācijas

drošība” un “A.17. Organizācijas darbības nepārtrauktības

pārvaldība informācijas drošības aspektā” OSSTMM v3.0

nodaļas Drošības testēšana datu tīkliem apakšnodaļas

“Brīdinājumu un žurnālfailu pārskats” un “Izdzīvošanas

validācija”

Datu integritāte u.c. loģiskā

aizsardzība

OWASP Testing guide v4 kontroles “Autentifikācijas testēšana”,

“Autorizācijas testēšana”, “Klienta puses testēšana” un

“Ievaddatu validācijas testēšana”


apakšnodaļas “Piekļuves validācija”, “Segregācijas pārskats”

un “Privilēģiju audits”

PTES nodaļas “Ievainojamību pārbaude”

OWASP Code Review guide nodaļa «Autentifikācija»,

«Autorizācija» un «Ievaddatu validācija»

Aizsardzība pret ļaunatūru

OWASP Testing guide v4 kontroles “Biznesa loģikas testēšana”


apakšnodaļa “Karantīnas pārbaude”

PTES nodaļas “Ievainojamību izmantošana” apakšnodaļa

“Pretpasākumu apiešana”




Informācijassistēmas fiziskādarbības vide

ISO 27001:2013 standarta kontroles “A.11. Vides drošība un fiziskā drošība,tai skaitā datu centru apmeklējums”OSSTMM v3.0 nodaļa “Fiziskā drošības testēšana”

Tīkla drošība ISO 27001:2013 standarta kontroles “A.5. Informācijas drošības politika” un“A.6. Informācijas drošības organizatorika”, kā arī “A.9. Piekļuves kontroles”

Citas drošībasprasības

OWASP Testing guide v4 kontroles «Informācijas vākšana» un «Kļūduapstrāde»OSSTMM v3.0 nodaļas Drošības testēšana datu tīkliem apakšnodaļas“Situācijas pārskats, «Loģistika», «Aktīvās noteikšanas pārbaude», «Tīklainformācijas piekļuves audits», «Uzticamības pārbaude», «Funkcionālodrošības procedūru pārvaldības pārbaude», «Nelegāla un neētiskainformācijas izmantošana», «Atklāšanas verifikācija» un «Biznesainteliģences izpētīšana»PTES nodaļas «Informācijas ievākšana», «Meklēšanas dzinējos pieejamāsinformācijas izpēte», «Informācijas identificēšana no publiskā tīkla»,«Informācijas identificēšana no iekšējā tīkla», «Ievainojamību analīze»,«Ievainojamību validācija», «Uzbrukumu veidi», «Precizēšana», «VPNnoteikšana», «Maršruta noteikšana, ieskaitot statiskos maršrutus», «Biznesuietekmējošie uzbrukumi», «Pretošanās», «Pēc izmantošana» un «Paroļuhash iegūšana»OWASP Code Review guide nodaļa «Kļūdu apstrāde» un «Droša aplikācijuizvietošana»

Paldies par

uzmanību!

Prezentāciju sagatavoja Kārlis Mālnieks

[email protected]

© 2015 KPMG Baltics SIA, Latvijā reģistrēta sabiedrība ar ierobežotu atbildību un KPMG neatkarību dalībfirmu, kuras saistītas ar Šveices uzņēmumu KPMG International Cooperative (KPMG International) tīkla dalībfirma. Visas tiesības pieder autoram.

The KPMG name, logo and “cutting through

complexity” are registered trademarks or trademarks

of KPMG International.

Documents

datu aizsardzība un tai piemērojamie · PTES (Penetration Testing Execution Standard) 8 OWASP (Open Web Application Security Project) Testing guide v4 10 OWASP Code Review guide